将我的指纹提供给主题公园有什么风险?

信息安全 隐私 生物识别 指纹
2021-09-02 06:13:20

我最近参观了Epcot 中心,很惊讶他们要求在我进入公园之前扫描我的一个指纹,尽管我已经拿到了门票。我不相信他们需要特定的手指。这似乎是一种称为 Ticket Tag 的双因素身份验证方法,这听起来与 TSA 关于您的身体扫描的说法非常相似:“我们不存储扫描结果,但如果您愿意,可以使用‘不太方便’的方法(大多数时候)。”

我有理由担心吗?这里最可能和最坏的风险是什么?

4个回答

恐怕我没有一个好的答案,但我确实有一些想法可以帮助其他人找到一个好的答案。

你已经到处留下你的指纹了。但是,如果有人想要获取您的指纹,他们目前必须花费时间和精力来靠近您并找到一个可以从某物上提取好的指纹的位置。这意味着为一个随机的人做这件事会更昂贵,这意味着它不能真正大规模地做。

如今,手机和其他设备也具有读取指纹的有用功能。这增加了某人可以在某个地方访问他们的数据库的几率,并降低了在主题公园留下指纹的相对风险。

我们似乎正在走向一个使用指纹作为识别符的正常社会。“这是用户名而不是密码,”人们说,在某种程度上他们是对的。然而,它不仅仅是一个用户名,因为它不是微不足道的(无需任何工具就可以实现)提取和重用指纹,就像用户名一样。这就是为什么它作为一种相当受信任的识别方法如此受欢迎的原因,例如在您的手机上和作为身份验证的第二个因素。

这种趋势也意味着,随着指纹存储变得越来越普遍,它们的可信度越来越低。公众的看法应该趋向于“每个人都有我的指纹副本,谁说它仍然可以安全地用作身份验证方法?” 这导致任何人都拥有副本的事实不再是问题,因为它不会被完全依赖。

一些现有的答案提到指纹可能存储为代码,而不是非常准确的图片或指纹表示,并且不同的设备会以不同的方式对其进行编码(“abc”与“123”)。我认为这部分正确:派生代码通常用于身份验证,这使得恢复原始指纹更加困难。但是,我希望它是一个确定性且至少部分可逆的过程,如果您知道指纹读取器的类型,您可以将派生代码反转回类似于指纹的东西。此外,我希望指纹读取器行业能够以最有效的方式来读取和编码一个人的指纹,从而无需单独对每个指纹读取器的方法进行逆向工程。

总结:

  1. 如果您打算以较低的成本入侵个人和/或您打算以更大的规模这样做,那么像主题公园一样的数据库是有价值的。

  2. 您的指纹在越来越多的地方被数字读取。随着这些系统和数据库变得越来越频繁,它们应该变得不那么受信任。

  3. 即使它们可能不存储您的原始指纹(很容易复制),编码版本也可能被反向工程回类似于原始的东西。一旦完成,这可以用于使用该设备制作的每个指纹,或者至少可以用于主题公园中的每个人。

好吧,如果您可能相信他们的政策所说的话,您就不应该那么担心。事实上,即使他们存储了你的指纹并且他们的数据库会被泄露,但这并不意味着每个人都可以在野外复制你的指纹。

因为生物识别设备会扫描您身体的一部分(例如手指),但该设备中使用的软件必须将该图像转换为一种字符串,或者至少是软件可解释的某种东西。也许,设备 A 将您的指纹存储为“abc”,设备 B 存储为“123”。

然而,这并不意味着它不会有风险。指纹仍然被用来唯一地识别你,并且在未来它只会被更多地使用。当您在机场旅行时,您会留下指纹,当您解锁手机时,...

此外,他们说他们不存储实际的指纹图像。因此,当您第一次进入主题公园时,他们可能会编造那根绳子;当您再次输入它时,设备将再次从图像中生成相同的字符串,并检查它是否已经在数据库中。如果是,他们有您独特的主题公园 ID。就像使用散列密码完成的过程一样。

最坏的情况是他们存储你的指纹并秘密地用隐藏的摄像头拍你的脸,然后他们把它发送给国家安全局,这样老大哥就已经对你有更多的了解了。但他们可能已经拥有主题公园可以提供的关于您的信息,等等。所以不要太在意那个主题公园。:)

他们可以做的是使用您的指纹注册,例如您访问公园的次数或相关内容,并以某种方式将其用作营销策略。

如果有人真的想得到你的指纹,他们会一直跟着你,直到你把星巴克的杯子扔掉,或者触摸门把手;从那里获取您的指纹。

好吧,如果您仅使用指纹来解锁某些高度安全的设备,那么这个示例应该会让您非常担心。只有在以下情况下才无害:

  • 他们不会自愿存储客户指纹的完整图像
  • 他们没有成为窃取他们的攻击者的目标
  • 他们存储的内容不能用于构建图像

但你也应该知道,每次你在酒吧里不戴手套喝啤酒时,都会在玻璃上留下指纹副本。好吧,它很难使用,但并不比从政府数据库中窃取指纹更难。

恕我直言,这意味着您永远不应仅依靠指纹解锁高度安全的系统。指纹可以安全地识别一个人,这里没问题。但是,如果您的指纹被泄露,很难撤销您自己的指纹,而且您的政府(也许您可以信任它)和它的许多代理人(他们都值得信赖吗?)应该已经知道,他们的正常工作可以访问那些数据库。

生物识别可以成为一种主动保护多方身份识别的方法:你知道的东西(密码)你的身份(指纹)。当与可以控制您实际提供指纹的东西(例如安全人员)结合使用时,它是完全安全的。但是依靠它来解锁电子设备非常方便,但并不那么安全。

我不敢相信这么多人告诉你“别担心,伙计,还有其他方法可以针对你”

这里的问题是非目标攻击。有人获取您的指纹数字哈希并使用它,因为它位于泄漏的数据库中,而不是因为他们针对您。我确信主题公园的所作所为在我的国家是非法的。我不确定你住在哪里。这绝对是不道德和无用的。

其它你可能感兴趣的问题
上一篇我的电子邮件被列为未知 Google 帐户的辅助邮箱 下一篇Bitlocker + TPM 如何阻止我在其他操作系统中看到 HDD 内容?